如何抵御云端DDoS攻击？

当前遭到云端DDoS攻击已变得越来越普遍。在本文中，专家Frank Siemons将与企业分享有关该种攻击方式所需要了解的信息以及如何防范。

[[181997]]

随着分布式拒绝服务攻击的频率和规模的不断提升，云端服务供应商可能会在带宽争夺战中成为攻击者们的更加关注的目标。云服务供应商(或称之为CSP)的商业模式，包括为客户提供高带宽的互联网连接能力的虚拟化实例。通过CSP直接或通过某一或多个客户间接进入带宽资源池会很容易地造成恶意的DDoS拒绝服务，或称为DDoS以及相关非法操作变得更加严重。这是否是威胁所在?还有企业如何使用云服务保护自己免受这样的威胁?

最新进展

在2012年，一群网络罪犯利用VE-2014-3120 Elasticsearch 1.1.x漏洞，以及Linux DDoS Trojan Mayday等手段，攻陷了几台Amazon Elastic Cloud Compute的虚拟机。尽管这一漏洞并不只是针对基于云端的系统，同时可以用来对付包括非云端系统在内的任意服务器，但确实为攻击者提供了一些有意义的机会。他们能够从攻陷的云端实例上运行基于用户数据报协议(User Datagram Protocol)的DDoS攻击。攻击者利用云服务供应商亚马逊的输出带宽，在这种情况下距离云服务供应商提供的理想环境相去甚远。如果某一CSP的公共IP地址范围与连接到云端的DDoS攻击产生关联，供应商可以在黑名单或某一公司的防火墙黑名单登记上找到它。它的客户将遭遇连接性问题并很可能导致服务停机。尽管主要供应商们大面积受到影响的可能性很低，但这可能会对CSP及其客户产生相当严重的影响。

云端DDoS攻击的风险

云服务供应商在输入流量的位置部署有平台级的DDoS防护系统。他们还监测DDoS流量的输出流量，甚至可以关闭参与攻击的主机系统。这样在面临云端DDoS攻击时CSP显得相对安全。然而，虚拟机的关停对其拥有者来说并非是所希望的结果，因为这会导致托管系统的中断。这意味着不论是通过内部管理还是通过第三方供应商监控，确保和监控自己的基于云端主机运行，是最符合客户利益的办法。云空间之外也还存在着其他的风险，如公共IP由于DDoS的关系被加入一处或多处黑名单。由于被外部的反恶意软件产品所阻拦，这将导致电子邮件服务甚至是Web服务的损失。

发现并阻止云端DDoS攻击

有许多安全方面的最佳实践，特别是旨在降低被动参与云端DDoS攻击情况下的风险和影响。

任何云端客户应该有一个配置完好的、在其网络边界上的增强出口防火墙，这将防止由云服务供应商采取的关机需求。例如，一旦每秒连接数达到阈值，出口过滤器会封锁输出的NTP流量或会阻止任何对外部web服务器的请求。这一防火墙也应该被监控。用防火墙阻止流量是一回事，而在内部网络中找到实际发生这种情况的原因则是另一回事。

引起DDoS流量的遗留在网络中原因通常是在某一或多个系统中仍安装有恶意软件，使得感染的系统能够连接到更大的全球性的僵尸网络。这不仅导致了前文提到的种种与DDoS有关的问题，还使得僵尸网络的控制者能够掌控感染的系统，导致数据窃取、中断，甚至还可能造成用数据勒索赎金的情况。基于主机的高质量恶意软件检测和预防工具对所有任何系统都是必备的。

专用的DDoS攻击防护产品或第三方DDoS防护提供商也值得选用。客户可引导所有输入和输出的流量途经这些产品，从而从数据流中过滤掉与DDoS相关的有害流量。在选用第三方供应商产品时，如果客户在不知情的情况下参与到云DDoS攻击中，CSP的输出带宽仍然会被消耗。在使用基于云的专用产品时，如果客户是一个DDoS攻击目标，CSP的输入带宽仍然会被消耗。重要的是权衡哪种方法与环境最适应。

综上，配置良好的入侵检测或预防系统能够抓取可疑的或是恶意的流量。这也许不仅能够探测到DDoS流量，同时也能首先发现和阻止恶意软件、僵尸命令及控制流量，造就更加良好的环境。

结论

任何情况下被卷入DDoS攻击都很糟糕，但如果实际系统托管在公共云环境，相关的风险似乎会更高。不仅因为云端DDoS攻击本身，而是因为在理论上，客户系统可以被第三方机构所关闭，同时高容量的输出流量会造成大量成本。然而，如果采取正确的安全措施，这些风险大部分可以得到控制。当上述风险可控，公司就可以更专注于输入的DDoS攻击的防护过程中去，而这则是个完全不同的问题。